Il y a un problème dans le mode opératoire de gpg lorsqu'il vérifie
les signatures séparées, ce qui peut amener à des faux positifs. Les
signatures séparées peuvent être vérifiées par cette ligne de commande :
gpg --verify detached.sig < mes_données
Si quelqu'un remplace detached.sig par un texte signé (par exemple autre chose qu'une signature) et modifie de fait mes_données, gpg rapportera une signature vérifiée avec succès.
Pour réparer cela, le mode opératoire --verify a changé : il nécessite maintenant deux options pour vérifier les signatures séparées : le fichier avec la signature séparée et le fichier avec les données à vérifier. Veuillez noter que cela le rend incompatible avec les versions ascendantes !
Florian Weimer a découvert que gpg pourrait importer les clefs secrètes à partir des serveurs-clefs. Puisque gpg considère que les clefs publiques correspondent à des clefs secrètes connues dont la confiance est triviale, un attaquant peut s'en servir pour éviter le réseau de confiance.
Pour réparer cela, une nouvelle option a été ajoutée pour signifier à
gpg l'autorisation d'importer des clefs secrètes :
--allow-key-import.